محققان امنیتی از آسیبپذیری جدیدی در ویندوز خبر دادند که مجرمان سایبری با سوءاستفاده از آن توانایی اجرای حملههای خطرناک را خواهند داشت. محققان، اجرای حملههایی با قابلیت تکرار - تلفن تعمیرگاه مجاز ساید بای ساید کنمور ارزان - خودکار همچون Wannacry و NotPetya را با - تلفن تعمیرگاه مجاز ساید بای ساید کنمور ارزان - سوءاستفاده از آسیبپذیری جدید ممکن میدانند. چنین حملههای سایبری میتوانند شبکههای کسبوکاری در سرتاسر جهان را فلج کنند.
آسیبپذیری جدید امنیتی در ویندوز در نسخهی ۳/۱/۱ از سرویس Server Message Block دیده شد. سرویس مذکور، برای - تلفن تعمیرگاه مجاز ساید بای ساید کنمور ارزان - اشتراک فایل و پرینتر - تلفن تعمیرگاه مجاز ساید بای ساید کنمور ارزان - و منابع دیگر در شبکههای - تلفن تعمیرگاه مجاز ساید بای ساید کنمور ارزان - محلی یا اینترنت استفاده میشود. مجرمان سایبری که توانایی سوءاستفاده از آسیبپذیری را داشته باشند، با استفاده از آن کدهای موردنظر خود را در سرورها و کامپیوترهای دیگر موجود در شبکه اجرا میکنند. مایکروسافت وجود آسیبپذیری را تأیید کرده و یک اطلاعیهی مشاورهای پیرامون آن ارائه داده است.
آسیبپذیری موجود بهنام CVE-2020-0796 ثبت شد که ویندوز ۱۰ را در نسخههای ۱۹۰۳ و ۱۹۰۹ تحت تأثیر قرار میدهد. بهعلاوه، ویندوز سرور نسخههای ۱۹۰۳ و ۱۹۰۹ نیز - تلفن تعمیرگاه مجاز ساید بای ساید کنمور ارزان - در معرض تهدید هستند. نسخههای مذکور، جدیدترین نسخهها از سیستمعامل مایکروسافت هستند که شرکت، هزینههای سنگینی برای جلوگیری از حملههای اینچنینی در آنها متحمل شده است. هنوز هیچ بستهی امنیتی برای حل مشکل آسیبپذیری - تلفن تعمیرگاه مجاز ساید بای ساید کنمور ارزان - وجود ندارد و سند جدید ردموندیها نیز اطلاعاتی از زمانبندی عرضهی بستهی امنیتی ارائه نمیکند. سخنگوی مایکروسافت هم در پاسخ به رسانهها گفت که بهجز متن توصیهنامه فعلا هیچ اطلاعیهای از شرکت وجود ندارد.
مایکروسافت به کاربران اعلام کرد که تا زمان عرضهی بستهی امنیتی میتوانند با مسدود کردن قابلیت فشردهسازی در سرورها، جلوی سوءاستفادهی مجرمان سایبری را بگیرند. مسدود کردن فشردهسازی باعث میشود تا مجرمان نتوانند از آن برای تهدید سرورهای SMBv3 سوءاستفاده کنند. کاربران میتوانند برای غیرفعال کردن فشردهسازی بدون نیاز به راهاندازی مجدد سرور، دستور زیر را در PowerShell اجرا کنند:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force
اگر کامپیوترهای شخصی یا سرورها به سرویس آلودهی SMB متصل - تلفن تعمیرگاه مجاز ساید بای ساید کنمور ارزان - شوند، کد بالا راهکاری برای امنیت آنها نخواهد بود. البته درصورت رخ دادن چنین اتفاقی، حملهها بهصورت بدافزار اتفاق نمیافتد. مایکروسافت همچنین پیشنهاد میکند تا کاربران پورت ۴۴۵ را مسدود کنند. پورت ۴۴۵ برای انتقال ترافیک SMB بین کامپیوترها استفاده میشود.
شرکت امنیتی Fortiet ابتدا یک متن توصیهنامه - تلفن تعمیرگاه مجاز ساید بای ساید کنمور ارزان - برای - تلفن تعمیرگاه مجاز ساید بای ساید کنمور ارزان - آسیبپذیری جدید منتشر - تلفن تعمیرگاه مجاز ساید بای ساید کنمور ارزان - و سپس آن را پاک کرد. آنها آسیبپذیری جدید را بهنام MS.SMB.Server.Compression.Transform.Header.Memory.Corruption معرفی کردند و - تلفن تعمیرگاه مجاز ساید بای ساید کنمور ارزان - آن را نتیجهی فشار بیش از حد بر بافر در سرورهای - تلفن تعمیرگاه مجاز ساید بای ساید کنمور ارزان - Microsoft SMB دانستند. در بخشی از سند گروه مذکور نوشته - تلفن تعمیرگاه مجاز ساید بای ساید کنمور ارزان - شده بود:
تلفن تعمیرگاه مجاز ساید بای ساید کنمور ارزان برای شما در کمترین زمان
آسیبپذیری بهخاطر خطایی ایجاد میشود که نرمافزار آسیبپذیر در زمان مدیریت پکت دادهی فشردهشدهی مخرب تجربه میکند. یک مجرم سایبری بدون دسترسی تأییدشده میتواند از این آسیبپذیری از راه دور سوءاستفاده و کدهای جانبی مخرب را در بدنهی اپلیکیشن اجرا کند.
تیم امنیتی Talos در سیسکو نیز توصیهنامهی امنیتی پیرامون آسیبپذیری - تلفن تعمیرگاه مجاز ساید بای ساید کنمور ارزان - جدید ویندوز منتشر کرده بود، اما بعدا آن را پاک کرد. آنها از اصطلاح Wormable - تلفن تعمیرگاه مجاز ساید بای ساید کنمور ارزان - برای توصیف آسیبپذیری استفاده کردند. این اصطلاح یعنی مجرمان میتوانند با یک بار نفوذ به یک سیستم مخرب، مجموعهای زنجیرهوار از حملهها تشکیل دهند که امکان نفوذ از یک ماشین آسیبیپذیر را به ماشین آسیبپذیر بعدی ممکن میکند و هیچ نیازی هم به دستوری ازطرف ادمین یا کاربر سیستم آلوده ندارد.
در بخشی از توصیهنامهی تیم امنیتی Talos نوشته شده بود:
خدمات خوب برای تلفن تعمیرگاه مجاز ساید بای ساید کنمور ارزان میخواهی؟ پس کلیک کن.
مجرم سایبری میتواند - تلفن تعمیرگاه مجاز ساید بای ساید کنمور ارزان - با ارسال یک پکت آلوده - تلفن تعمیرگاه مجاز ساید بای ساید کنمور ارزان - به سرور هدف SMBv3 از آسیبپذیری سوءاستفاده کند. قربانی باید به این سرور متصل باشد تا حمله بهصورت کامل انجام شود. کاربران باید فشردهسازی SMBv3 - تلفن تعمیرگاه مجاز ساید بای ساید کنمور ارزان - را - تلفن تعمیرگاه مجاز ساید بای ساید کنمور ارزان - غیرفعال و پورت TCP 445 را نیز در فایروالها و کامپیوترهای کاربر مسدود کنند. سوءاستفاده از آسیبپذیری، یک حملهی کرمی را ایجاد میکند، یعنی مجرمان میتوانند از - تلفن تعمیرگاه مجاز ساید بای ساید کنمور ارزان - یک کامپیوتر قربانی به دیگری نفوذ کنند.
مایکروسافت با اجرای SMBv3 مجموعهای از راهکارها را پیادهسازی میکند تا پروتکل، - تلفن تعمیرگاه مجاز ساید بای ساید کنمور ارزان - هرچه بیشتر برای کامپیوترهای ویندوزی امن باشد. بهروزرسانی مذکور پس از حملههای Wannacry و NotPetya کاربرد گستردهتری پیدا کرد. این دو بدافزار ابتدا توسط آژانس امنیت ملی NSA طراحی شده بودند و بعدا مجرمان سایبری آنها را بهسرقت بردند. حملهای که با بهرهبرداری از بدافزارها انجام میشد، EternalBlue نام داشت و با سوءاستفاده از SMBv1، قابلیت اجرای کد از راه دور را در سیستم قربانی پیدا میکرد. آن حمله هم توانایی نفوذ از یک کامپیوتر آلوده به دیگری را داشت. مایکروسافت در پاسخ به تهدیدهای پیشآمده، ویندوز ۱۰ و ویندوز - تلفن تعمیرگاه مجاز ساید بای ساید کنمور ارزان - سرور ۲۰۱۹ را بسیار امنتر کرد تا در مقابل سوءاستفادههای مشابه، مقاوم باشند.
هنوز مشخص نیست که چرا مایکروسافت جزئیات پراکندهای از آسیبپذیری ارائه میکند یا چرا - تلفن تعمیرگاه مجاز ساید بای ساید کنمور ارزان - هردو گروه امنیتی فوق، توصیهنامههای خود را حذف کردهاند.
اگرچه آسیبپذیری CVE-2020-0796 جدی و بحرانی تلقی میشود، هنوز نمیتوان آن را در - تلفن تعمیرگاه مجاز ساید بای ساید کنمور ارزان - سطح آسیبپذیری SMBv1 دانست که منجر به گسترش واناکرای و ناتپتیا شد. حملههای مذکور، در اثر گسترش عمومی حملهی اترنالبلو توسعه یافتند که سوءاستفاده - تلفن تعمیرگاه مجاز ساید بای ساید کنمور ارزان - از سیستمهای قربانی را در سطح فرایندهای کپی و پیست، آسان کرده بود. از دیگر فاکتورهایی که منجر به توسعهی آسیبپذیریها شد، میتوان به استفادهی همهجانبه از SMBv1 در آن زمان - تلفن تعمیرگاه مجاز ساید بای ساید کنمور ارزان - اشاره کرد. اکنون SMBv3 کاربرد کمتری نسبت به آن نسخه دارد.
SMB از لایهی امنیتی دیگری نیز بهره میبرد که بهصورت تصادفی، موقعیتهای حافظه را تغییر میدهد. درواقع زمانیکه کد مجرمانه در حافظه بارگذاری میشود و از آسیبپذیری سوءاستفاده میکند، مکان حافظه بهصورت تصادفی تغییر میکند. چنین محافظتی، مجرمان را مجبور میکند تا از دو روش نفوذ پایدار و جامع استفاده کنند. یکی - تلفن تعمیرگاه مجاز ساید بای ساید کنمور ارزان - از روشها، از فشار بار بیشازحد روی بافر سوءاستفاده کرده و دیگری، موقعیت حافظهی اجراکنندهی کد مخرب را فاش میکند. گروه هکری Buckeye، گروه حرفهای که ۱۴ ماه پیش از شیوع حملهی اترنالبلو از SMBv1 سوءاستفاده کرده بود، مجبور شد بهخاطر سیستم حفاظتی حافظهی تصادفی، از یک آسیبپذیری افشای اطلاعاتی دیگر سوءاستفاده کند.
جیک ویلیامز، هکر سابق NSA و بنیانگذار شرکت امنیتی Rendition Security در حساب کاربری توییتر خود نوشت که لایههای امنیتی فوق، زمان را برای پیادهسازی حملهی مجرمانه افزایش میدهند. او اعتقاد دارد آسیبپذیری جدید به خطرناکی واناکرای نیست، چون سیستمهای کمتری را تحت تأثیر قرار میدهد و همچنین کدهای آماده برای - تلفن تعمیرگاه مجاز ساید بای ساید کنمور ارزان - نفوذ نیز موجود نیستند. بههرحال او میگوید کشف آسیبپذیری دیگر در SMB، دور از انتظار نبود و در آینده هم احتمالا شاهد کشفهای دیگر خواهیم بود.
درنهایت فراموش نکنید که در ماه - تلفن تعمیرگاه مجاز ساید بای ساید کنمور ارزان - مه گذشته، آسیبپذیری دیگر با ظرفیتهای سوءاستفادهی کرمی بهنام BlueKeep کشف شد که مایکروسافت بستهی امنیتی آن را عرضه کرد. هنوز هیچگونه سوءاستفاده از آسیبپذیری مذکور گزارش نشده است، اما بههرحال هشدارهایی جدی را بههمراه - تلفن تعمیرگاه مجاز ساید بای ساید کنمور ارزان - داشت.
انتشار توصیهنامههای امنیتی و پاک کردن سریع آنها، واکنشهای گستردهای را در توییتر بههمراه داشت. مایکروسافت عموما جزئیات بستههای امنیتی آتی خود را - تلفن تعمیرگاه مجاز ساید بای ساید کنمور ارزان - پیش از انتشار با شرکتهای آنتیویروس و سیستمهای مقابله با نفوذ به اشتراک میگذارد. ظاهرا ردموندیها عرضهی بستهی امنیتی - تلفن تعمیرگاه مجاز ساید بای ساید کنمور ارزان - SMBv3 را در لحظهی آخر به تأخیر انداختهاند و شرکای امنیتی، اطلاعاتی از آن ندارند. درنهایت صرفنظر از دلیل حذف توصیهنامهها، اطلاعات آسیبپذیری در اینترنت منتشر شده است. کاربرانی که از سرویسهای SMBv3 استفاده میکنند باید در دریافت اخبار پیرامون بهروزرسانیهای امنیتی، هوشیار باشند.